防火墙是位于内部网和外部网之间的屏障,按照系统管理员预先定义好的规则来控制数据包的进出,是系统的第一道防线,其作用是防止非法用户的进入。虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。
以上描述的防火墙一般用于数据中心内部网络和外部网络之间,而云宏君接下来描述的虚拟防火墙则有所不同,它用于数据中心内部网络中虚拟机与虚拟机、虚拟机与物理机之间的网络通信,是一种虚拟网络的网络流量控制防火墙解决方案。
传统虚拟防火墙解决方案大体是参考物理机的防火墙实现
传统虚拟防火墙解决方案大体是参考物理机的防火墙实现,在虚拟机内运行虚拟机防火墙软件,算是更完整地贯彻虚拟的方针。
为了便于调控虚拟防火墙的策略和配置,每台物理机上都需要部署一个防火墙模块,以接收来自防火墙控制器发送的配置信息和防火墙策略进行网络流量的检测。在主机集群的控制节点上部署防火墙控制器,用于对整个集群环境中所有的防火墙模块进行统一管理和策略配置。用户或云计算管理节点的防火墙策略信息发送给防火墙控制器,实现对虚拟防火墙的调控。
换言之,防火墙控制器需要建立连接,用户配置的防火墙策略信息必须通过防火墙控制器的可实施性预分析,才能将用户配置的防火墙策略信息发送给防火墙模块。一旦连接断开,就需要用户根据控制器反馈信息进行修改。除此之外,采用虚拟防火墙软件方式安装防火墙,通常需要安装其他不相干的模块,哪怕实际上只用得上防火墙模块。而且有的防火墙软件过滤规则要逐条过滤网络流量,性能较差。
云宏CNware虚拟防火墙采用了基于OpenvSwitch(简称OVS)的openflow流表
为了有效地解决传统方案的弊端,云宏CNware虚拟防火墙采用了基于OpenvSwitch(简称OVS)的openflow流表,配置网络流量过滤规则实现虚拟防火墙功能。CNware虚拟化主机默认采用OVS作为网络管理堆栈。物理主机下面的虚拟机网络通信都会经过OVS下面的bridge,bridge的作用就是虚拟交换机。在bridge上设置openflow流表规则,就可以控制网络流量的通过,实现虚拟防火墙的功能。
云宏CNware虚拟防火墙通过程序下发用户自定义规则到openflow,能使网络流量交由openflow进行过滤,下发的规则信息包括防火墙规则所属物理主机、源类型、源对象值、协议、端口号、目标类型、目标对象值、单双向等信息。数据包符合规则的就可以通过虚拟交换机(列入白名单),反之则不能通过(列入黑名单)。
与传统方案相比,云宏CNware虚拟防火墙不需要防火墙控制器模块,避免防火墙控制的连接问题,而且层次结构更加简洁,性能更高效。另外,解决方案使用IP、IP段、MAC等多种配置规则,配置策略更丰富、更灵活。
原文地址:http://blog.51cto.com/14035356/2348421